Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:9559 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
基于火绒剑的系统行为分析
本文来自公众号:弥天安全实验室   2020.01.06 14:40:23



网安引领时代,弥天点亮未来







0x00 环境介绍


火绒剑,win7



0x01 简介


火绒剑是从火绒工具箱里面独立出来的一个程序,主要是针对系统行为进行分析,可以监控进程中所有的程序进行的操作,支持针对单个程序的监控,只需要把该程序拖进窗口即可。


0x01下载安装


火绒剑的官方下载地址为:http://down4.huorong.cn/hrsword.exe

下载完成后直接安装就行了。


0x02 监控分析


打开后的主界面是这样的,第一个界面主要是实时监控所有进程进行的操作,可以快速定位。

比如当我打开任务浏览器,就有提示,选中右键可以查看具体的操作

接下来停止监控,尝试单一对某个程序进行行为分析。
当拖入某个正常的程序一般只会有一个进程ID,可以看见被植入后门的程序会多出一个进程,这个进程就是运行后门所导致的。点击确定putty正常启动,同时后门也启动,现在可以开始进行分析了

可以看见这里面有两个不同进程的名字,为了区分,当时做后门的时候将正常的程序命名为puttys,后门程序命名为putty,这里可以看见后门程序有一个动作NET_connect,不清楚是什么可以右键点击动作信息

可以看见描述为网络连接,连接的地址就是后门请求的IP了,因为一个程序打开的时候会有大量的动作,不好手动筛选就可以直接查看任务组,这里会记录所有的操作

在进程一栏可以查看目标的具体信息,包括父进程ID,有时候找到了病毒木马可以通过父进程ID来进行锁定恶意程序。

找了个挖矿病毒进行分析(非专业人士谨慎操作),该程序请求了88.99.193.240这个地址,创建了一些文件

到对应目录查看这些文件应该就是病毒的主体文件了,右键查看该进程,通过进程命令可以发现该程序的启动命令,有一串加密后的数据由于虚拟机没有联网也就没有尝试进行解密,一般来说很可能是base64加密。

不过最后一个命令暴露了,该挖矿程序为ETN挖矿程序,中文名以利坊,程序图标也能对上,这样来看密文应该是矿工工的账户名和矿工名。
既然这个程序是挖矿程序那么还有一个程序也就是他的父进程audilodg.exe应该就是该挖矿程序的启动主体。

本来还想分析的,但是耐不住渣电脑,实在是不行了,卡的不行,就这样吧。





知识分享完了

喜欢别忘了关注我们哦~



学海浩茫,
予以风动,
必降弥天之润!


弥  天

安全实验室